Contenido de Detección: Comportamiento del Malware PsiXBot

A medida que Google y Mozilla promueven el uso generalizado del protocolo DNS sobre HTTPS, más autores de malware también aprovechan esta oportunidad perfecta para ocultar tráfico malicioso. Las versiones recientemente descubiertas de PsiXBot abusan del servicio DoH de Google para recuperar las IPs de la infraestructura de mando y control. El malware apareció en 2017 como un simple infostealer capaz de recopilar cookies y credenciales, así como de descargar y ejecutar herramientas adicionales, pero con el tiempo adquirió módulos extra. Una de las características clave de PsiXBot es el uso de dominios .bit como servidores C&C. Para acceder a ellos, el malware anteriormente alcanzaba un servidor DNS específico, pero ahora los dominios C&C están codificados en él y el malware oculta la consulta DNS a la infraestructura C&C detrás de HTTPS, colocando direcciones en solicitudes GET al servicio de Google como variable. En respuesta, recibe un blob JSON con más instrucciones y modificaciones a sus módulos, lo que casi con certeza evitará la detección por soluciones de análisis de tráfico.

PsixBot se distribuye a través de correos electrónicos de spam o por kits de exploit (una de las versiones de malware se distribuyó a través del kit de exploit Spelevo). Los atacantes modifican activamente su ‘descendencia’ y añaden nuevos módulos: PsiXBot también puede reemplazar direcciones de criptomonedas en el portapapeles, enviar correos spam a través de Outlook y rastrear cuando una víctima visita sitios web ‘para adultos’ para comenzar a grabar video y audio, lo cual puede usarse para posteriores chantajes. La regla de búsqueda de amenazas comunitaria por Ariel Millahuel ayuda a descubrir el comportamiento de las muestras recién descubiertas del malware PsiXBot: https://tdm.socprime.com/tdm/info/NE8JhdECcqUW/KZjn73IBPeJ4_8xc136U/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Acceso Inicial

Técnicas:  Instalar Certificado Raíz (T1130)